Obter WordPress protegida: renomear a pasta plugins
English version: Get WordPress protected: rename the plugins folder
Dando à pasta de plugins um novo nome é uma das maneiras mais subestimadas que fortalecem a proteção do seu WordPress. E ainda é grátis e fácil.
Por que é importante e como funciona
De acordo com nossos estudos na Cerber Lab, a maioria dos ataques de hackers e tentativas de explorar vulnerabilidades de plugins assumem que todos os plugins do WordPress estão localizados na pasta padrão para todos os plugins que são / wp-content / plugins / . Felizmente, o nome da pasta pode ser facilmente alterado para o que você quiser em literalmente duas etapas simples. Isso significa que os cibercriminosos não têm conhecimento sobre a capacidade de renomear a pasta e atacar cegamente o local do plugin padrão? Não, nem sempre, mas a grande maioria dos sites com WordPress usa a estrutura de pastas padrão , e é por isso que os cibercriminosos exploram essa vulnerabilidade com facilidade.
Nossa análise mostra que a maioria dos sites é hackeada explorando uma vulnerabilidade em um plug-in desatualizado e, na maioria dos casos, o invasor usou a vulnerabilidade no arquivo PHP localizado na pasta padrão de plug-ins do WordPress.
Dica: use o scanner de malware Cerber para encontrar uma vulnerabilidade nos plugins instalados .
Como renomear a pasta de plugins do WordPress
Primeiro de tudo, você precisa ter acesso aos arquivos em seu site através do painel de controle de hospedagem que geralmente tem um gerenciador de arquivos. Como alternativa, você pode usar um cliente FTP.
O primeiro passo é renomear a pasta plugins para qualquer nome que você quiser. Vamos supor que usamos o nome dos módulos . O nome da pasta deve conter apenas caracteres ASCII. Basta colocar "use apenas letras do alfabeto latino".
A segunda etapa é adicionar duas diretivas de definição ao arquivo wp-config.php que informam ao WordPress que usamos um novo nome para a pasta de plugins. Veja o exemplo abaixo e observe:
- Você precisa adicionar diretivas ao início do arquivo na próxima linha após <? Php .
- Não há barras finais.
<? php
define ('WP_PLUGIN_DIR', '/ completo / caminho / para / wp-content / modules');
define ('WP_PLUGIN_URL', 'https://example.com/wp-content/modules');
A constante WP_PLUGIN_DIR define o caminho completo sem barra para a pasta de plugins renomeados.
A constante WP_PLUGIN_URL define o URL sem barra final da pasta de plugins renomeados.
Depois de concluir essas duas etapas, você adiciona outra barreira de segurança ao seu WordPress. Outro mecanismo de segurança que você deve considerar é ativar as verificações agendadas de malware .
Possíveis problemas e solução de problemas
O site não está carregando. Isso geralmente significa que você fez um erro de digitação no nome da pasta. Verifique cuidadosamente as definições que você adicionou ao wp-config.php, o caminho completo e o URL que você especificou.
Alguns recursos pararam de funcionar. Você tem um plugin mal projetado ou desatualizado instalado no site. A melhor coisa que você pode fazer é se livrar disso. Não há desculpas para o desenvolvimento de plugins ruins. Um desenvolvedor de plug-in deve obedecer aos padrões de codificação do WordPress.
Como restaurar o nome da pasta padrão. Remova todas as linhas com as diretivas WP_PLUGIN_DIR e WP_PLUGIN_URL do arquivo wp-config.php, renomeie a pasta do plugin para plugins .
Próximas etapas para fortalecer sua segurança no WordPress
WordPress 5.4.1. A atualização de segurança corrige sete vulnerabilidades XSS
WP Cerber Security 8.6.5
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
I tried changing the directory but it didn’t work.
Looking for more information I found something that works.
define( ‘WP_PLUGIN_DIR’, dirname(__FILE__) . /content/mod’);
define( ‘WP_PLUGIN_URL’, ‘http://example.com/content/mod’);
Why this way if it works and not the way you have in the post?
Has anything changed in the latest versions of WordPress?
The same thing happens to me with WP-CONTENT
Thanks
Yes, you can use this way too but it leaves some room for uncertainty because a constant should be constant. The perfect way is to define a static value like a string. It didn’t work for you most likely because the path you specified for WP_PLUGIN_DIR was not correct. Possibly because you had changed the default wp-content path to content. In this case, the full config should be:
// no trailing slashes
define('WP_CONTENT_DIR', dirname(__FILE__) .'/content');
define('WP_CONTENT_URL', 'https://example.com/content');
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/mod');
define('WP_PLUGIN_URL', WP_CONTENT_URL . '/mod');
Thanks!
I started by following this other post https://wpcerber.com/turn-wordpress-into-fort-knox/
But I couldn’t get it to work well.
Yes, that approach requires some technical background.